Patch voor OpenSSH nodig vanwege nieuwe exploit

SecurityFocus heeft via BugTraq een waarschuwing de deur uit gedaan voor een lek in OpenSSH. Alle versies voor 3.7 bevatten een buffer management-fout. Het is nog niet geheel duidelijk of deze fout geëxploiteerd kan worden, maar natuurlijk wordt aangeraden om betrokken systemen zo snel mogelijk te voorzien van de nieuwste versie van OpenSSH, 3.7.1. Ook is het mogelijk om de systemen te beveiligen door een patch in te draaien. Volgens Slashdot zou er al een exploit in omloop zijn, hoewel dit verder nog niet bevestigd is. Bij deze exploit zou er een grote hoeveelheid aan SSH-verbindingen opgezet worden, waarbij getracht wordt root toegang te verkrijgen. CERT heeft hierover het volgende te melden:

If it is possible to exploit this vulnerability in a manner that would allow the execution of arbitrary code then an attacker may be able to so with the privileges of the user running the sshd process, usually root. The impact may be limited on systems using the privilege separation feature available in OpenSSH for some systems.

Reacties (80)

aKra 18 september 2003 11:04

Hmm, doen jullie goed jongens...

"Alle versies voor 3.7.1 bevatten een buffer management-fout."

Paar regels verder:

...maar natuurlijk wordt aangeraden om betrokken systemen zo snel mogelijk te voorzien van de nieuwste versie van OpenSSH, 3.7.1.

Maak daar dan even p1 van, dat is namelijk de meest recente dacht ik!

Verwijderd @aKra • 18 september 2003 11:16

3.7.1 is de meest recente. De p toevoeging geeft aan dat deze versie ook op andere (lees niet OpenBSD

) platformen te compileren is.

Ik maak mezelf weer lekkah overbodig

Cyberdude47 @aKra • 18 september 2003 11:12

Niet de meest recente versie in de zin dat de p1 staat voor 'portability "goop"'. Wel dus de recentste stabiele versie. Van de site:

Managing the distribution of OpenSSH is split into two teams. One team does strictly OpenBSD-based development, aiming to produce code that is as clean, simple, and secure as possible. We believe that simplicity without the portability "goop" allows for better code quality control and easier review. The other team then takes the clean version and makes it portable, by adding the portability "goop" so that it will run on many operating systems (these are known as the p releases, and named like "OpenSSH 3.7.1p1").

aKra @Cyberdude47 • 18 september 2003 11:33

Als ik op een andere site kijk staat daar: tot 3.7.1 vulnerable. En hier staat alle 3.7.1's

(Zo te zien is het hier nu op Tweakers ook al aangepast met "Alle versies voor 3.7.1")

Olaf van der Spek @aKra • 18 september 2003 14:36

Voor 3.7.1. 3.7.1 zelf dus niet.

Verwijderd @aKra • 18 september 2003 11:13

p1 (en verder) staat voor portable, dus dat heeft niets te maken met de major versie (3.7.1)

BillyBee 18 september 2003 11:23

Wel altijd grappig om te zien dat er altijd gemauwed word als de woordjes: Microsoft, MS, Bill, Gates, Windows, Dos of Office in het topic of de text staan... Waar blijven nu de flames richting open-source software? Owh nu is het opensource en dan is het allemaal niet net zo erg als wanneer onze vriend Gates wat foutjes maakt...

linux systemen en andere open source software kennen net zo veel...als het er al niet meer zijn; bugs.....

Wat een k*t software, het zal de open-source software wel weer nie zijn, altijd maar beveiligings lekken in open-source software...bla bla bla...
Waarom hoor ik daar nu niets over?

Beetje hypocriet dat vind ik het, racisme dat is het gewoon!

edit:

Sorry voor de off-topic score-baarheid die ik hiermee kan behalen...

Maar dit soort dingen moeten ook gezegd worden...hoop alleen niet dat het weer een hele flame war ontketend...in ieder geval niet de bedoeling

[edit2]
zie dit alles als een algemene post, niet zo zeer alleen op dit onderwerp. Dat deze bug nu toevallig preventief gefixxed is en men niet eens zeker weet of hij wel exploitable is...nahjah, da's deze bug

En sowiso...de makers die niet eens weten of het wel te exploiten is, ook heel erg apart..
[/edit2]

Weppel @BillyBee • 18 september 2003 11:28

Mag ik je dr dan aan herinneren dat deze bug gister is ontdekt, en vandaag is gedicht?

Heb ik microsoft nog niet zo snel zien doen

Plus, de verhouding bugs die ontdekt worden in programma's / besturingssystemen van microsoft tegenover open source software is ongeveer 100:1..

Kan me in ieder geval niet meer herinneren dat t.net een nieuwspost maakte over een beveiligingslek in linux / opensource software in de afgelopen maand... dat kan ik me daarentegen weer wel herinneren van microsoft (rpc anyone?)

edit:

als reactie op BillyBee, niet op onze opensource held jep

Wouter Tinus @Weppel • 18 september 2003 11:37

Dat RPC-gat was maanden van te voren gedicht. De volgende lekken ook voor er een worm was die er gebruik van maakte. Soms is Microsoft niet snel, maar het is onzin om te zeggen dat ze altijd te laat zijn. En wat er aan bugs op T.net verschijnt is natuurlijk totaal niet representatief voor wat de verhouding echt is.

Bovendien hebben dergelijke bugs altijd een heel stuk minder impact omdat beheerders van Linux/BSD systemen vaak wel weten waar ze mee bezig zijn, NOFI.

Right, maar Linux wil toch ook geschikt worden voor het grote publiek?

jep @Wouter Tinus • 18 september 2003 11:43

Right, maar Linux wil toch ook geschikt worden voor het grote publiek?

Ja. Heeft het 'grote publiek' een SSH server nodig op zijn workstation? Dacht het niet. Sterker nog; ze hoeven van buitenaf helemaal niks open te hebben. In tegenstelling tot wazige windows poortjes.

Ik voorzie dus geen problemen.

Wouter Tinus @Wouter Tinus • 18 september 2003 12:05

Juist, de slechte reputatie van Windows komt volgens meer door de tientallen miljoenen gebruikers die hun computer niet of slecht beheren dan door de hoeveelheid bugs. Ik gebruik al jaren Windows zonder dat ik gehacked ben of last heb gehad van een virus. Kwestie van een paar simpele voorzorgsmaatregelen, en die zijn ook in Linux nodig (bijvoorbeeld het standaard uitschakelen/dichtzetten van sshd).

Zowel Windows als desktop-Linux moeten er eigenlijk vanuit gaan dat software lek is en dat de gebruiker uit zichzelf niets patcht. Als dat niet gebeurt dan merk je vooral aan de Windows-kant de gevolgen daarvan, maar dat betekent niet automatisch dat het in de gemiddelde Linux-distro wel goed geregeld is, hoogstens dat daar minder n00bs rondlopen

BillyBee @Wouter Tinus • 18 september 2003 11:45

de wazige windows poortjes staan ook gewoon dicht d.m.v. de firewall.

heel linux komt ook standaard met een boel programma'tjes die op een boel poortjes blijven open staan, goed..je kunt ze misschien wel makkelijker 'binden' aan bv alleen je interne interface maar goed in linux EN in windows kun je je poortjes dichthebben voor de buitenwereld d.m.v. een firewall.

jep @Wouter Tinus • 18 september 2003 12:30

heel linux komt ook standaard met een boel programma'tjes die op een boel poortjes blijven open staan,

Oja joh? Linux is een kernel, strict genomen. Mijn distributie/OS komt absoluut *niet* met een hoop open poortjes. En een firewall, tsja, zo ken ik er nog wel een paar.

Countess @Wouter Tinus • 18 september 2003 16:02

probleem van een firewall onder windows is is dat het een programa is dat OP windows draait.
bij linux draai je geen firewall programa maar zeg je tegen je kernel : drop alle packets die binnen komen, behalve die op : deze poorten of van dit ip of van dit programa
dit gebeurt op een veel veel erder nivo als bij de windows firewall het geval is. naarnaast is die windows firewall ook software en dus kwetsbaar.

_JGC_ @Weppel • 18 september 2003 11:33

Mag ik je erop wijzen dat die gast van OpenBSD een paar dagen terug over die bug gehoord heeft, dat er een exploit voor zou bestaan, maar deze NERGENS kon vinden?
En dat ie vervolgens is gaan zoeken naar bugs, urenlang achtereen, en uiteindelijk tot de conclusie kwam dat er in OpenSSH 3.7, de huidige versie in OpenBSD, helemaal geen lek zat

Die gast heeft dus ontiegelijk zitten vloeken toen ie daarachter kwam

Uiteindelijk hebben ze dus uitgevonden wat er nu bekend is. het is niet eens zeker dat het te exploiten is, ze hebben het "Just in Case" gefixt. Waarschijnlijk heb je er niet eens last van als je privsep gebruikt en "PermitRootLogon" op false hebt staan.

BillyBee @Weppel • 18 september 2003 11:33

Dat zeg je verkeerd, windows bugs worden veel meer in de publiciteit gebracht..zo lijkt het wel alsof er veel meer bugs zitten in windows dan in open source software..maar je had redhat ten tijde van versie 6 eens moeten proberen, en de vele wuftpd updates die keer op keer maar weer exploitable bugs bevatte, ssh, openssh enz die keer op keer maar weer exploitable bugs bevatten...

Wanneer hoor je daar over? Amper toch?

Er zijn vast nog veel meer bugs in een heleboel opensource software die de makers niet eens weten te vinden maar sommige hackers en crackers in donkere uiteinden van de wereld wel, en die dit geheim houden.

Ik heb genoeg gewerkt met open source software en heb de scriptkiddies van dichtbij meegemaakt...
100en opensource computers met vooral linux worden dagelijks gehacked..je hoort er nooit van, 1 windows computer word gehacked en hoppa PUBLICITEIT

Aaargh! @BillyBee • 18 september 2003 12:04

Wat je vergeet is dat veel van die exploits dezelfde zijn.(dezelfde bug wordt door SuSE, RedHat, Debian, Mandrake, etc. gemeld)

Wat je ook vergeet is dat die bulletins van MS alleen op windows slaan, bij het gemiddelde linux systeem zit ontzettend veel meer software dan bij een windows systeem, waarvan het grootste deel niet standaard geinstalleerd wordt.

Als je bij een systeem 10 verschillende FTP servers levert dan heb je idd vaker een probleem in een FTP server dan als je er maar 1 bijlevert.

The Noid @BillyBee • 18 september 2003 12:05

Ik kan me herinneren dat Microsoft een tijdje geleden het aantal crisische bugs drastisch heeft verminderd... door de criteria voor critische bugs flink te verhogen.

Debian maakt geen onderscheid, alle bugs die misschien eventueel te exploiteren zijn (locaal of remote) krijgen een bulletin.

Microsoft brengt geeneens bulletins uit voor 'local' exploits.

Dus dat lijstje zecht niet veel.

Verwijderd @BillyBee • 18 september 2003 12:07

Duh,

In een Linux distributie zitten (debian bijvoorbeeld) 8000 applicaties, bij windows zit dat niet...

Het is dus appels en peren...

Een tweede is, dat het in open source software makkelijker is om fouten te vinden... maar dat is dus geen argument TEGEN open source.

Alle fouten die gevonden worden zijn vaak ook door de zogenaamde blackhats al gevonden... deze geven hun exploits niet zomaar vrij...

Verwijderd @BillyBee • 18 september 2003 11:49

De pijnlijke feiten zijn dat Linux de meeste security bugs heeft van ALLE besturingssystemen. Alleen dit jaar heeft RedHat al 94 bulletins uitgebracht (tegen 30 voor Microsoft):

OpenBSD - 12
Trustix - 20
EnGarde - 23
Microsoft - 30
SuSE - 37
Sun - 45
Mandrake - 91
RedHat - 94
Debian - 160

Het is ook het besturingssyteem met de meest "security breaches" op het web en de meeste defacements.

Bron: http://www.internetnews.com/dev-news/article.php/3076701

arjankoole @BillyBee • 18 september 2003 12:21

dan heb je genoeg keuze uit andere pakketten die niet elke 2 weken lek zijn (sendmail ).

nou niet overdrijven. Dat toevallig nu net na openssh ook een lek in sendmail bekend is geworden is toeval, en goed, d'r zijn er genoeg geweest in het verleden.... maar vind je het gek? sendmail was de eerste MTA ter wereld, geschreven op Berkely ergens in begin jaren 80, d'r zit nog zoveel oude code in..... (en vroeger hoefde je niet veilig te programeren, omdat niemand 't in z'n godvergeten kop haalde iemand anders z'n apperatuur te 'hacken')

notabene heeft Eric Allman zelf een flink aantal exploits gefixed die nog niet eens bekend waren.

jep @BillyBee • 18 september 2003 13:33

De pijnlijke feiten zijn dat Linux de meeste security bugs heeft van ALLE besturingssystemen.

Fout. Linux is wellicht van alle besturingssystemen diegene waar men de meeste bugs uit heeft gehaald. Bij windows zitten deze er nog gewoon in en komen ze er langzaam een voor een uit.

Bovendien is Linux een kernel, een vrij veilige kernel. Debian is *erg* secure, dus daar kun je ook niets van zeggen.

_JGC_ @BillyBee • 18 september 2003 11:36

MOET jij wu-ftpd gebruiken?
MOET jij sendmail gebruiken?
MOET jij BIND gebruiken?

Zoals de blaster worm bug: je kunt die poort 135 alleen dichtkrijgen met een firewall, als je de RPC listener uitzet, sluit je windows direct af

Alle bovenstaande services ben jij niet verplicht te draaien op een linux bak, en als je die toch wilt draaien (zal wel moeten voor een nameserver, ftpserver of mailserver), dan heb je genoeg keuze uit andere pakketten die niet elke 2 weken lek zijn (sendmail

BillyBee @BillyBee • 18 september 2003 11:47

Er is altijd een boel gemekker over het feit dat ms producten out-of-the box (dus gewoon door klikken bij het installeren en zelf niets meer configureren) zo lek als een mandje zijn... daarom wilde ik maar even aangeven dat vele linux distro's out-of-the-box nog 1000x lekker zijn

edit:

owh en om even door te gaan op jou...
MOET jij MS IIS ftp server gebruiken?
MOET jij MS IIS http server gebruiken?
MOET jij MS IIS nntp server gebruiken?
MOET jij MS IIS smtp server gebruiken?
MOET jij MS DNS server gebruiker?

Nee, nee, nee en nog eens nee. Ook voor windows zijn er diverse andere ftp, http, nntp, smtp en dns software. Ook hier dus producten die in jouw optiek misschien niet iedere 2 weken lek zijn

)

_JGC_ @BillyBee • 18 september 2003 12:11

Hoeveel pakketten zitten er in Debian, en hoeveel krijg je bij windows. Het zegt helemaal nix dat Debian 160 bugs gevonden heeft in 8500 meegeleverde pakketjes waarvan je hooguit 200 geinstalleerd hebt. Die 30 waar jij het over hebt, zijn security bulletins van alleen windows, als je daar MSSQL, Exchange, MS Office, Norton Antivirus, Dameware, Remote Administrator, etc etc nog es bij optelt, kom je op een veel hoger aantal dan 160.

BillyBee @BillyBee • 18 september 2003 12:18

maar goed, als we het hebben over een os vergelijking moeten we dan ook geen afscheiding maken tussen meegeleverd en niet meegeleverd?
zo zou je kunnen stellen dat de meegeleverde software ongeacht de hoeveelheid, in windows veiliger of misschien net zo veilig zijn als in linux/andere opensource software

owh en ps... op een gemiddelde bmw zit vaak meer luxe/aparatuur dan op een gemiddelde peogot. Ook al gaat er meer kapot op de bmw, dan is de bmw toch nogsteeds de slechtere van de 2? Wat ik bedoel te zeggen is dat het wel waar is dat als je meer meeleverd dat er meer kapot kan gaan, maar dat ook telt dat als je meer meeleverd je ook meer secuur zult moeten zijn om ervoor te zorgen dat deze extra dingen net zo goed, net zo veilig werken als de rest van de spullen.

Verwijderd @BillyBee • 18 september 2003 12:50

redhat... daar noem je ook wat
ga nu eens kijken bij debian alsjeblieft ?

afterburn @Weppel • 18 september 2003 11:42

Plus, de verhouding bugs die ontdekt worden in programma's / besturingssystemen van microsoft tegenover open source software is ongeveer 100:1..

De hoeveelheid gebruikers van MS software tegenover opensource software is ook ongeveer 100:1
En de hoeveelheid 'hackers' die aan het graven zijn om fouten in Windows te vinden zodat ze hun 15 minuten fame op /. krijgen tegenover dat probeert exploits te vinden in opensource software zal nog wel veel groter zijn. Ook al vanwege het grote aantal Windows gebruikers.

We moeten gewoon niet zo neuzelen met z'n allen over MS v OSS en gewoon gebruiken wat we het fijnst vinden, bug reports voor kennisgeving aannemen en patchen als je er last van hebt. En verder accepteren dat anderen misschien andere opvattingen hebben als jezelf.

den 150 @BillyBee • 18 september 2003 11:37

Dat dit getolereerd wordt is veelgezegd, maar omdat de meeste open-source software gratis is wordt er minder zwaar aan getild. Je 'krijgt' een product volledig gratis en dan is het minder erg dat er fouten in zitten.
Voor Microsoft producten moet je meestal veel geld betalen en dan verwacht je een deftig product; bovendien dringt Microsoft je standaarden op (die je soms niet wilt). Dat je eens een bug tegenkomt zal nog wel gaan, maar het zijn af en toe ernstige bugs die een virus de mogelijkheid geven zich heel snel te verspreiden. Bovendien heeft Microsoft de gewoonte eerst een tijdje de bug te 'onderzoeken' alvorens een bugfix vrij te geven. Daarom dat de bugfinders al eens zelf de bug publiceren om druk te zetten op MS.
Bij deze bug heb je direct een bugfix, terwijl het nog niet eens zeker is dat er al een (al dan niet gevaarlijke) exploit voor is.

Verwijderd @den 150 • 18 september 2003 11:48

offtopic:
Microsoft heeft ook de neiging om in een bugfix niet alleen de bug te fixen, maar er ook maar ongevraagd wat nieuwe features in te stoppen, je configuratie aan te passen als je niet oplet, en je een aangepaste EULA op te dringen. Dat zorgt voor extra gemopper natuurlijk.

Meer on topic: deze bug is weer razendsnel gefixt inderdaad, en dat terwijl er blijkbaar nog geen bewijs van exploits was, en privilege separation (al flink wat versies lang de default in ieder geval op Linux en OpenBSD) je zou beschermen tegen een mogelijke exploit. Ik denk dat het dus wel mee valt (zei hij, terwijl de > 100 Linux systemen hier op werk fijn de update staan te installeren want ik neem natuurlijk geen risico!)

it0 @BillyBee • 18 september 2003 11:44

In principe heb je gelijk maar Theo heeft als uitgangspunt security en windows niet. Zodoende is er in de afgelopen 7 jaar 1 exploit geweest en als je je ssh server goed hebt geconfigureerd kan men niet eens root krijgen.

Daarnaast was er al een fix uit voor dat er een exploit was, wat bij microsoft in 9 van de 10 keer niet gebeurt.

In tegenstelling tot windows waar fouten frequenter worden gevonden en soms niet eens gepatched (kunnen) worden.

Het stuit dus sommige mensen tegen de borst dat microsoft (in het verleden) gebruiksvriendelijkheid boven veiligheid verkiest.

Verwijderd @it0 • 18 september 2003 12:25

Daarintegen heb je natuurlijk ook diverse wormen die gebruik maken van exploits die al een half jaar of wat gedicht zijn door MS, maar nog steeds voor grote ravage zorgen op het inet. Een systeem is zo goed als de beheerder. Nadeel is gewoon dat tegenwoordig iedereen denkt dat hij/zij iets met computers kan 'want klikken kan toch iedereen'. Met als gevolg dus prut beheerde systemen en echt hele gigantische ladingen software die echt om te janken is...

afterburn @it0 • 18 september 2003 12:33

Daarnaast was er al een fix uit voor dat er een exploit was, wat bij microsoft in 9 van de 10 keer niet gebeurt.

Noem er 1. De serieuze die mij voor de geest staan hadden al een maadje of 6 een patch beschikbaar, maar er waren zoals gewoonlijk bar weinig die hem ook daadwerkelijk geinstalleerd hadden. Incl een hoop mensen hier, als je de draadjes op GoT er op naslaat.

Het stuit dus sommige mensen tegen de borst dat microsoft (in het verleden) gebruiksvriendelijkheid boven veiligheid verkiest.

Dat is toevallig wel de reden dat iedereen tegenwoordig zo'n ding thuis heeft staan, en jij en ik niet meer 15.000 gulden hoeven neer te tellen voor een computer waar je nauwelijks wat mee kan.

Verwijderd @it0 • 18 september 2003 11:58

Kan je me 1 fout noemen die niet gepatcht kon worden (en nu dus nog in Windows zit)?

Wouter Tinus @Verwijderd • 18 september 2003 12:12

Ja, maar alleen in oude Windows-versies:

- Windows NT4 is kwetsbaar voor een DoS. De bug is gepatcht voor 2000 en XP, maar NT4-gebruikers is gewoon verteld om de firewall dicht te zetten: bron.

- Hier geven ze toe dat het veel te veel werk is om Windows 95 en Windows 98 veilig te krijgen.

Natuurlijk kan alles gepatcht worden, desnoods door het opnieuw te schrijven, maar dit zijn in ieder geval voorbeelden waarbij de moeite te groot was.

M4rtijn @Verwijderd • 18 september 2003 12:07

Er zijn nu nog 31 ongepatchte vulnerabilities in Windows, zie http://pivx.com/larholm/unpatched/

Verwijderd @it0 • 18 september 2003 17:04

Ssh kun je inderdaad als non-root laten draaien.
Na het binden aan port 22 wordt er een setuid() gedaan.

WIl je het nog veiliger hebben draai je de deamon in een jail. Hail hail voor OpenBSD en de nieuwe FreeBSD 5.x die dmv handige tool erg eenvoudig en snel een goed werkende jail kunnen opzetten.

arjankoole @Verwijderd • 19 september 2003 07:32

dat lijkt mij niet te werken, tenzij je priv-sep bedoelt in openssh.

maar de 'master daemon' draait nog altijd als root, zodra die een connectie krijgt forked ie, en dat kindje forked nog een keer bij successvolle authenticatie.

je krijgt dus:
- het root process, moeder van alle ssh daemons
- een root process wat de connectie met de gebruiker regel
- een process onder de uid van de gebruiker, waar alles
van de gebruiker in plaats vind.

als SSH na het binden op poort 22 een setuid() zou doen, kun je niet meer forken, en kun je ook niet een setuid() doen naar de uid die inlogt.

je kan met drop_priv() een hoop uit halen, maar lang niet alles. En dat betekend helaas dat je altijd gevoelig blijft

overigens ben je nog steeds kwetsbaar met priv_sep. Als een attacker binnenkomt, heeft ie een uid op het systeem, en dat kan ie weer gebruiken om z'n privs te verhogen, net zolang tot ie root is.

BillyBee @BillyBee • 18 september 2003 11:44

Algemene reactie op bovenstaande:

Windows XP Home Edition kost helemaal niet duur, het is dat wij een stel zeiklappen zijn die wel 1300 euro willen betalen voor de hardware maar 0 voor de software (komt vast ook wel door de praktijk: kan het toch wel kopieren van de buurman, waarom zou ik ervoor betalen). De gewone windows versies zijn helemaal zo duur niet, server en pro wel maar goed dat behoor je ook te gebruiken in een corporate omgeving. Ook voor windows clients (98, xp home, xp pro enz) zijn gewone mail, ftp enz pakketen te verkrijgen, dus we zijn ook weer niet specifiek gebonden aan windows server. Verder moet niemand het volgende os kopen, je kunt best wel blijven hangen bij je os die je nu hebt, maar iedereen vind het wel oke dat alles er mooier uitziet en iets beter functioneerd dus kopen we het toch maar weer (of weer terug komend op daarnet: buurman heeft het al dus ik kopieer het wel).
Ik wil maar even aangeven dat het meer luxe en hebberigheid is dat we een nieuw os willen hebben...en er het liefst dus ook niet eens voor willen betalen.

bomba23 @BillyBee • 18 september 2003 12:37

Hmm kost niet duur, is dat nederlands?

Verwijderd @bomba23 • 18 september 2003 15:43

financieel gezien kosten die prijzen duur ja

jep @BillyBee • 18 september 2003 11:26

Leuk, dat je zo opmerkt dat er weer een bug in open-source software ontdekt is, maar ga er nu eens mee werken. Je gaat er vanzelf anders tegenaan kijken. Bovendien hebben dergelijke bugs altijd een heel stuk minder impact omdat beheerders van Linux/BSD systemen vaak wel weten waar ze mee bezig zijn, NOFI.

himlims_ @jep • 18 september 2003 11:30

wel grappig; wist ik veel dat die 'bug' d'r was, had m'n Openssh toevallig 10min. geleden geupdate.
Toeval

M4rtijn @himlims_ • 18 september 2003 12:10

Minder grappig: heb net gisteren geupdate naar 3.7 en lees nu dat er wéér een update noodzakelijk is

cavey @BillyBee • 18 september 2003 12:33

Hi

verschil tussen open source en closed source: het gat wordt vrijwel direct gedicht en de patch komt dezelfde dag van ontdekking ter beschikking voor iedereen om te updaten.

Dat je er zoveel van tegen komt is alleen maar een goede zaak:
a) mensen zijn er aktief mee bezig om de gaten te vinden EN te dichten
b) ze worden altijd vrijwel direct na vinding kenbaar gemaakt... daarom lijken het er zoveel.

Er zijn een hoop onbekende (voor de meeste mensen) bugs in closed source pakketten... en er zijn er ook een hoop mensen bij die die bugs voor eigen doeleinden misbruiken.

Closed source heeft als voordeel dat de gaten niet zo makkelijk te vinden zijn (security by obscurity noemen ze dat)...... en als nadeel: je moet wachten, soms ERG lang wachten, op een bugfix.... en de fouten zijn meestal een gradatie erger dan bij open source pakketten.

Verder geen flamewar hoor, was me de hele thread al opgevallen de over positieve toon t.o.v. open source.

Maja, de hele attitude richting bugs is ook anders bij open source -> alles gebeurt in openbaarheid. Bug gevonden? Licht de hele community in!! Stel de patch danwel temporary bugfix ter beschikking. Laat iedereen de systemen patchen voor er misbruik van gemaakt kan worden.

Beetje pre-emptive patching....... MS (jaja ff beestje bij naampje noemen) is veelal dweilen met de kraan open.

Matthijs Hoekstra @cavey • 18 september 2003 12:48

Onmogelijk om op de dag dat het ontdekt wordt een goede patch op te leveren. Je kan wel snel wat opleveren maar hoe weet je dan dat er niets anders kapot gaat?
Waarschijnlijk is testen van ondergeschikt belang? Maar als eerste een 'fix' hebben is misschien wel 'stoer'? in de OS community?

aKra 18 september 2003 11:10

Overigens zie ook:

http://www.openssh.com/txt/buffer.adv

mad_dog 18 september 2003 10:55

hier was gisteren toch al een patch voor?
/edit
ik ben first post, omdat ik zeg dat ik gisteravond me ssh heb upgedate, en daarom dit bericht niet geheel snap (wat laat vind)

Kippenijzer @mad_dog • 18 september 2003 10:57

Ergens gisterenmiddag onze tijd werd duidelijk dat alle gepatchte versies ook nog gevoelig waren voor iets anders... In 3 dagen tijd dus 2 updates

Zie ook : http://gathering.tweakers.net/forum/list_messages/809592/last

jep 18 september 2003 10:57

Het is wel altijd OpenSSH die de pineut is, misschien moet ik maar eens gaan kijken naar een andere (geld kostende) daemon, dit is niks

arjankoole @jep • 18 september 2003 11:20

da's overdreven, als je SSH to the world openzet ben je sowieso niet slim bezig.

maar als je perse een alternatief wilt: SSH Corp heeft een goeie.

jep @arjankoole • 18 september 2003 13:16

als je SSH to the world openzet ben je sowieso niet slim bezig.

Wat een bullshit, ik wil mijn SSH-server overal kunnen bereiken. Security is erg belangrijk, moet het moet niet zo paranoid worden dat je de helft niet meer fatsoenlijk kunt bereiken. SSH is er niet voor gemaakt om hem vervolgens weg te firewallen.

Bovendien ben ik shell-provider

Verwijderd @jep • 18 september 2003 14:47

Als je iets naar de wereld open zet is het wel ssh(2) en dan het liefst met keys, dus geen challenge-response.

Trouwens nog een linkje over de exploit..

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0695

Verwijderd 18 september 2003 11:02

Gisteren las ik in de krant dat de leks niet alleen aan windows liggen (bv Blaster virus) Het ligt ook aan de andere softwareschrijvers. Zo zie je maar weer dat bijna geen een softwarebedrijf zijn software echt waterdicht heeft zitten. Natuurlijk is het heel moeilijk om dit waterdicht te krijgen, maar ze zouden vind ik meer moeten testen op bugs, leks enz. Dat zou misschien wat schelen. Eventueel zouden ze zelf eens moeten proberen om de software te kraken zodat ze die leks ook weer kunnen dichten. Want van die patches wordt je ook niet vrolijk. Je moet onderhand voor elk programma wel patches downloaden.

Arnout @Verwijderd • 18 september 2003 11:07

Dit is wel een beetje overdreven.

"leks" zoals jij het noemt, zijn onlosmakelijk van software. Net zoals ongelukken bij het verkeer horen.

En zo vaak updaten? Ik draai al 1 jaar Debian op een internet server en dit is de eerste echte security update die ik heb uitgevoerd.

Voor de Debian admins:

apt-get update
apt-get install

Verwijderd @Arnout • 18 september 2003 11:11

apt-get upgrade ipv apt-get install

Aaargh! @Verwijderd • 18 september 2003 11:37

kan je nagaan hoe weinig dat nodig is als hij niet eens de juiste commando's uit z'n hoofd weet

Arnout @Verwijderd • 18 september 2003 11:40

Nahja zeg

install werkt ook

Verwijderd @Verwijderd • 18 september 2003 11:44

zonder extra parameters ? verrek

gheg

Verwijderd @Verwijderd • 18 september 2003 11:10

dit klinkt als de reactie van iemand die niet weet waar ie over praat denk ik.. openSSH bestaat al teringlang en ze zijn er nu pas achter. hadden ze al die tijd de software niet moeten releasen tot ze er nu achter waren ? en wanneer ben je achter alle lekken ? dat weet je toch nooit ?

gelukkig zijn er gisteren al heel snel patches voor uitgekomen (binnen een paar uur) voor de meeste OS'en

Stan 18 september 2003 18:03

Aangezien ik RedHat gebruik (9.0) en velen met mij, blijft t toch altijd klote om te upgraden (die RPMs). Heeft iemand de RPM van deze nieuwste OpenSSH voor me (i686 of lager mag ook)(9.0)? Sendmail is ook welkom trouwens...

Coen Rosdorff @Stan • 19 september 2003 02:05

Iedereen die redhat gebruikt staat op ingeschreven op de redhat-watch-list.

Daar had je kunnen lezen dat updated openssh packages beschikbaar zijn. (Gisteren al.)

ftp://dl.xs4all.nl/pub/mirror/redhat-updates/9/en/os/i386/
openssh*-3.5p1-11.i386.rpm

Doe gelijk even de andere updates als je schijnbaar nooit update. RPM maakt het juist makkelijk om te updaten.

Stan @Coen Rosdorff • 19 september 2003 15:27

Uhhhhh, ik weet niet of je het gelezen hebt maar de nieuwe gatvrije versie is 3.7 en niet 3.5
Ik draai nu al 3.6 dus je helpt me niet echt

RPM maakt alles zeer makkelijk, logisch, maar dan moeten die RPMs wel gemaakt worden en up to date gehouden worden, anders draai je alles uit het stenen tijdperk...

Verwijderd @Stan • 18 september 2003 18:16

Waarom Sendmail blijven gebruiken als er een veilig, compatible, sneller en eenvoudiger te configureren alternatief is dat PostFix heet. Ik heb SendMail al bijna 4 jaar geleden gedag gezegd.

Verwijderd 18 september 2003 11:06

Het is nog niet geheel duidelijk of deze fout geëxploiteerd kan worden

ik heb begrepen dat dit kan, op een verschrikkelijke doodsimpele manier ( ./scriptje 1.2.3.4 en je bent root )

Verwijderd @Verwijderd • 18 september 2003 11:51

Wat is je bron? Volgens mij praat je onzin.

Verwijderd @Verwijderd • 18 september 2003 12:48

mijn bron is gewoon "horen zeggen", nix meer nix minder

freaky @Verwijderd • 18 september 2003 14:05

Uh ja, zo werken de meeste exploits nadat er iets voor geschreven is

Verwijderd 18 september 2003 13:26

Er was al paar dagen geleden een patch van RedHat voor deze exploit. Ik vind dat t.net wat moet doen aan de snelheid waarmee het nieuws gebracht word.

Verwijderd 18 september 2003 14:18

Dus we hebben een nieuwsbericht van 20 regels en een patch van 10Kb.

Vervolgens 1500 regels text met een discussie over MS vs OS.

read it, apply it, test it, next yob...

Op dit item kan niet meer gereageerd worden.

Patch voor OpenSSH nodig vanwege nieuwe exploit

Lees meer

Reacties (80)

Sorteer op:

Weergave: